Bundesregierung beschließt Datenschutz-Novelle

- - in Datenschutz - 3 Ergänzungen

Heute morgen hat das Bundeskabinett den Entwurf für neue Datenschutzregelungen in der Privatwirtschaft beschlossen. Dies war ein Ergebnis der Datenskandale bei der Deutschen Telekom, bei Lidl, den Lottogesellschaften und anderen Unternehmen im Laufe des Jahres.

Wesentliche Neuerungen laut der Pressemitteilung des BMI, dpa und taz sind:

  • Die Weitergabe persönlicher Daten ohne Zustimmung der Betroffenen ist grundsätzlich verboten (opt-in-Verfahren). Bisher konnten bestimmte Daten wie Name, Adresse und Alter immer dann verkauft werden, wenn man nicht explizit widersprochen hat. Ausnahmen gibt es laut BMI für Eigenwerbung mit eigenen Kundendaten – auch unter Zuhilfenahme externer Selektionskriterien -, Spendenwerbung gemeinnütziger Organisationen, Werbung an Unternehmen und Freiberufler (B2B) sowie die sogenannte „Beipackwerbung“.
  • Internet-Geschäfte sollen müssen auch dann möglich sein, wenn man der Weitergabe seiner Daten nicht zustimmt. Dieses Koppelungsverbot gilt allerdings nur für marktbeherrschande Unternehmen.
  • Der Bußgeldrahmen wird von 250.000 auf 300.000 Euro erhöht, Gewinne aus illegaler Verwendung von Daten können nun abgeschöpft werden.
  • Bei Daten-Diebstählen müssen die Betroffenen künftig von den Firmen informiert werden.
  • Es gibt nun eine bundesweite Regelung zum Datenschutzaudit. Unternehmen können ein Gütesiegel erwerben, wenn sie sich einem Kontrollverfahren unterwerfen.
  • Die Firmen bekommen für die Anpassung ihres Werbeverhaltens drei Jahre Zeit.
  • Für die internen betrieblichen Datenschutzbeauftragten sind ein besserer Kündigungsschutz sowie ein Anspruch auf Fortbildung vorgesehen.

Die Kritik bezieht sich vor allem auf das Audit-Verfahren, auf diverse Ausnahmeregelungen zum Weitergabeverbot, die fehlende Kennzeichnung der Daten in Bezug auf ihre Herkunft und bei der Weitergabe, sowie die immer noch mangelnde Austattung der Datenschutzbehörden mit weiter gehenden Kompetenzen und auch mit entsprechenden Ressourcen:

Laut taz, der der Entwurf schon gestern vorlag, können Unternehmen bereits mit dem Datenschutzsiegel werben, bevor sie überhaupt ein Auditverfahren durchlaufen haben. Sie müssen es lediglich dem Bundesbeauftragten für Datenschutz mitteilen. Die Kontrolle müsse erst dann erfolgen, „sobald“ die Arbeit der Kontrollstelle „es ermöglicht“. Wer weiß, wie schlecht die Datenschutzbehörden personell ausgestattet sind, kann sich vorstellen, was das bedeuten wird. Zudem sind die Gutachter dafür nicht unabhängig. „Diese sollen von den Kontrollierten beauftragt und bezahlt werden. Das riecht stark nach Gefälligkeitsgutachten“, so Thilo Weichert, Landesdatenschutzbeauftragter von Schleswig-Holstein. Dort gibt es seit einigen Jahren bereits ein eigenes Gütesiegel, das mittlerweile als Modell für ein EU-weites Datenschutz-Siegel fungiert. „Bei uns werden die Gutachten noch einmal überprüft“, sagte Weichert der taz.

Weichert kritisierte außerdem die Ausnahmenregelungen zum Opt-in-Verfahren:

„Die Ausnahmen vom Einwilligungserfordernis haben zugenommen. Die Verständlichkeit der gesetzlichen Regelung bleibt noch hinter den bisher schon schwer handhabbaren Normen zurück. Das Koppelungsverbot wird durch den Verweis auf sonstige Marktangebote fast völlig entwertet.“

Was es ebenfalls nicht in den Gesetzesentwurf geschafft hat, ist eine Kennzeichnung der Daten mit Informationen über ihre Herkunft, ihre Weitergabe und ihre Verwendungszwecke. Damit wäre auch möglich, den Weg der Daten im Falle der Weitergabe zu dokumentieren. Solche Meta-Daten sind seit einigen Jahren ein heißes Thema auf den Datenschützerkonferenzen, und dieser Ansatz wird z.B. bei IBM schon länger intern benutzt. Mit der Enterprise Privacy Authorization Language (EPAL) gibt es sogar schon einen Entwurf für einen Standard. Hiermit könnte auch das seit einiger Zeit diskutierte Verfallsdatum für personenbezogene Daten implementiert werden. Innenminister Schäuble hat mal wieder nicht verstanden, dass es inzwischen solche technischen Lösungen gibt:

„Ein lückenloser Herkunftsnachweis ist unmöglich. Deswegen haben wir davon Abstand genommen.“

Während die Werbewirtschaft in den letzten Wochen Sturm gelaufen ist und offenbar die vielen Ausnahmeregeln noch mit erwirkt hat, ist der Bundesdatenschutzbeauftragte Peter Schaar laut eigener Aussage am Entstehen des Gesetzesentwurfs nur „bisweilen beteiligt gewesen“. „In den letzten Wochen sind wir nicht berücksichtigt worden“, kritisierte er.

Schaar fordert darüber hinaus auch weitere Befugnisse für die Datenschutzämter:

„Die Aufsichtsbehörden sollen nicht erst dann einschreiten können, wenn das Kind in den Brunnen gefallen ist. Sie brauchen die Befugnis, bei schwerwiegenden Datenschutzverstößen die Datenverarbeitung zu untersagen.“

Update: Heise berichtet jetzt auch und gibt noch Informationen zum Zeitplan:

Nach einem Durchgang durch den Bundesrat könnte das Vorhaben im März im Bundestag beraten und frühestens Mitte Mai verabschiedet werden.

Das Datenschutzzentrum (ULD) in Kiel fordert für das weitere Gesetzgebungsverfahren, die Audit-Regelungen wegen der schweren Probleme vom Rest des Gesetzes abzutrennen und gesondert nachzuarbeiten.

Update 2: Hier ist der alte Gesetzesentwurf mit Stand vom 30.7.2008. Sobald die heute beschlossene Fassung online ist, wird sie hier auch noch verlinkt. Hier ist die heute beschlossene Fassung. Seiten 1-12 sind das neue Datenschutzauditgesetz, Seiten 13-18 die Änderungen an Bundesdatenschutzgesetz, danach folgen Änderungen des Telemediengesetzes und des Telekommunikationsgesetzes, und die Seiten 21-56 sind die Begründung.

Update 3: Bei heise gibt es jetzt auch eine Übersicht der Reaktionen auf den Entwurf.

Update 4 (11.12.2008):Jetzt fordern auch prominente SPD-Abgeordnete Nachbesserungen. Mal sehen, wie schnell sie dieses Mal einknicken – nach kleinen kosmetischen Änderungen natürlich, über die Schäuble wieder öffentlich zetern wird, damit es als großer Erfolg erscheint.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

Über die Autor:in

Ralf ist seit Jahren in Zusammenhängen wie DigiGes, EDRi, AK Vorrat, AK Zensur aktiv. 2011 wurde er in den Beirat von Privacy International berufen. Nach einer soliden Grundausbildung als Nerd am Commodore C-64 und dem Studium der Politikwissenschaft in Bremen und Berlin hat er zehn Jahre lang zu Datenschutz, Internet-Governance und Cyber-Sicherheit geforscht, u.a. in Berlin, Bremen, Washington und New York City. Von 2002 bis 2005 hat er für die Heinrich-Böll-Stiftung den Weltgipfel Informationsgesellschaft begleitet. Im Hauptberuf arbeitet er seit Sommer 2009 für den Abgeordneten Jan Philipp Albrecht im Europäischen Parlament, ebenfalls zu Themen der Internetfreiheit und der digitalen Bürgerrechte. Wenn er Zeit findet, bloggt er hier auf deutsch oder auf englisch auf http://bendrath.blogspot.com. Häufiger twittert er als @bendrath.

Veröffentlicht 10.12.2008 um 12:16
Kategorie
Schlagworte
Weitere Artikel
Belgische Innenministerin Annelies Verlinden
Überwachung

Internes ProtokollEU-Staaten drehen sich bei Chatkontrolle im Kreis

Die EU-Staaten haben „diametral gegensätzliche Positionen“ bei der Chatkontrolle, eine Einigung ist weiterhin nicht in Sicht. Das geht aus internen Verhandlungs-Dokumenten hervor, die wir veröffentlichen. Die Bundesregierung will ihre Position aktualisieren, aber auch diese Verhandlungen ziehen sich.

Lesen Sie diesen Artikel: EU-Staaten drehen sich bei Chatkontrolle im Kreis
Nutzerrechte

Digital Markets ActEU-Kommission nimmt Google, Apple und Facebook unter die Lupe

Die Kommission will klären, ob die Unternehmen neue Regeln zu digitalen Märkten unzureichend umgesetzt haben. Es geht um verschiedene Bereiche, etwa das Bevorzugen eigener Angebote bei Suchergebnissen oder Apps, die sich nicht deinstallieren lassen. Die Untersuchungen könnten für die Unternehmen sehr teuer werden.

Lesen Sie diesen Artikel: EU-Kommission nimmt Google, Apple und Facebook unter die Lupe

3 Ergänzungen

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.